Jump to content

Externe Namensauflösung im AD mit 2 DNS-Servern etwas lahm


Direkt zur Lösung Gelöst von zahni,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ich hatte mich heute mit einem kleineren Problem beschäftigt, das schon sehr lange in der Firma existiert. Problem ist die externe Namensauflösung, die sehr schleppend vor sich ging. Intern funktioniert die Namensauflösung tadellos.

 

Bei den Arbeiten heute habe ich mich sehr nach diesem Artikel hier gerichtet: 

https://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

 

Ich habe das Problem denke ich lösen können.

 

1. DNS, Primärer DC, Server 2008 R2, AD-integriert, IP 192.168.1.103

- Bevorzugter DNS 192.168.1.100, Alternativer DNS 192.168.1.103

- Weiterleitung auf externe DNS-Server, falls Namen nicht aufgelöst werden können

 

2. DNS, Backup DC, Server 2008 R2, AD-integriert, IP 192.168.1.100

- Bevorzugter DNS 192.168.1.103, Alternativer DNS 192.168.1.100

- Weiterleitung auf den 1. DNS, falls Namen nicht aufgelöst werden können, keine externe Weiterleitung

 

Das Problem war wie gesagt, dass das Surfen im Internet etwas träge war. Außerdem konnte nslookup externe Adressen zuerst gar nicht auflösen. Nach dem Einrichten einer Weiterleitung nach extern danach oftmals nur nach einem Timeout.

 

Ich habe auf dem ersten AD-DNS die Weiterleitung zum zweiten AD-DNS gelöscht. Seitdem funktioniert die externe Namenauflösung tadellos.

Allerdings frage ich mich, ob meine Lösung auch so ihre Richtigkeit hat und ob ich mir durch das Löschen der Weiterleitung auf dem 1. DNS nicht ein Problem einhandle. Auf Google konnte ich relativ wenig zur Einrichtung von zwei DNS-Servern finden. Vielleicht könnt ihr mir helfen.

 

Grüße

 

Willy

bearbeitet von willy-goergen
Link zu diesem Kommentar

 

 

Weiterleitung auf den 1. DNS, falls Namen nicht aufgelöst werden können, keine externe Weiterleitung

Das ist Unsinn. Die Replizieren ihre Datenbank über das AD.

Wenn der  1. kein  Ergebnis bringt, wird  automatisch der  Andere gefragt.

 

Trage in der Weiterleitung einen externen DNS  oder den Internet-Router  als DNS-Server ein (wenn der einen Forwarder hat).

Die Auflösung  über  Stammhinweise kann  man machen, wird aber nicht so gern gesehen. 

Link zu diesem Kommentar

Das ist Unsinn. Die Replizieren ihre Datenbank über das AD.

Wenn der  1. kein  Ergebnis bringt, wird  automatisch der  Andere gefragt.

 

Trage in der Weiterleitung einen externen DNS  oder den Internet-Router  als DNS-Server ein (wenn der einen Forwarder hat).

Die Auflösung  über  Stammhinweise kann  man machen, wird aber nicht so gern gesehen. 

 

Du meinst, ich sollte die interne Weiterleitung auf dem zweiten DNS auch herausnehmen und stattdessen wie der erste DNS nur auf externe weiterleiten?

 

Im Router selbst kann ich leider selbst keinen externen DNS-Server eintragen. Die sucht er sich automatisch. Und irgendwie habe ich das Gefühl, dass das nicht gerade die schnellsten externen DNS-Server sind, die er sich da gesucht hat.

 

Ein "kleiner" Geschwindigkeitszuwachs ist zumindest da. Lasse seit heute Vormittag, als ich damit angefangen habe, den DNSQuerySniffer mitlaufen. Die Anwortzeiten haben sich massiv verbessert. Vorher lagen sie alle meistens irgendwo zwischen 1000ms - 9000ms.

bearbeitet von willy-goergen
Link zu diesem Kommentar
  • Beste Lösung

In den Netzwerkeinstellungen nur interne DNS-Server nehmen, auf allen internen DNS-Servern eine Weiterleitung auf einen oder mehrere externe DNS-Server eintragen (z.B. 8.8.8.8) .

Nicht  auf interne Server weiterleiten, es sei denn, die gehören zu einer  anderen internen Domäne und es soll so sein.

Das kann u.U. zu Loops führen, wenn DNS-Server sich gegenseitig was weiterleiten.

 

PS: Das ist irgendein Windows-Server-Grundlagenkurs ;)

bearbeitet von zahni
Link zu diesem Kommentar

Danke dir für deine Antwort! :)

Hab das auf dem zweiten DNS grade noch korrigiert.

 

Ich hatte in der Beziehung auf dem zweiten DNS bisher die unangetastete Standardkonfiguration drin, bzw. auf dem ersten DNS mit dem gearbeitet, was mir von meinem Vorgänger hinterlassen wurde. Der hatte dort eine Weiterleitung auf den Router reingemacht, die überhaupt keine Namen aufgelöst hat.

 

Die anderen Fehler, die du beschreibst, hatte ich auch teilweise. Auf den Clients waren per DHCP teilweise localhost und externe DNS-Server eingetragen. 

bearbeitet von willy-goergen
Link zu diesem Kommentar

Hm, 

 

dass man auf einem Client  Localhost als DNS einträgt, ist schon sehr seltsam. Dein Vorgänger wusste scheinbar nicht was er macht.

Auf einem DC  ist  das ja "default" Da gibt es aber  auch einen DNS-Server ;).

 

Die DNS-Server dort über Kreuz einzutragen ist aber  trotzdem eine gute Idee. Das beschleunigt das Booten der DCs

Link zu diesem Kommentar

Lass mal den BPA vom AD laufen...

 

 

Hab gerade mal reingeschaut. Ein Teil dessen, was wir hier diskutiert hatten, ist glaube ich ersichtlich.

 

w9y4jwrr.png

 

Die aktuellen Änderungen hat er wohl noch nicht mitbekommen.

 

Was mir, nicht erst seit heute, aufgefallen ist: Die DCs können oder konnten ihren eigenen Namen manchmal nicht mehr auflösen.

 

Das Ergebnis von gerade eben...

 

rjk77nbb.png

bearbeitet von willy-goergen
Link zu diesem Kommentar

 

Hab gerade mal reingeschaut. Ein Teil dessen, was wir hier diskutiert hatten, ist glaube ich ersichtlich.

 

w9y4jwrr.png

 

Die aktuellen Änderungen hat er wohl noch nicht mitbekommen.

 

Was mir, nicht erst seit heute, aufgefallen ist: Die DCs können oder konnten ihren eigenen Namen manchmal nicht mehr auflösen.

 

Das Ergebnis von gerade eben...

 

rjk77nbb.png

Wer hat denn bei IPv6 feste Adressen eingetragen?

Habt ihr einen Plan dafür?

 

Und die Zone _msdcs. scheint nicht zu existieren, ist die Domäne gewachsen und war mal 2000 oder 2003?

Aber das hat zahni ja auch schon verlinkt.

 

Welche Schema-Version hat das AD, welche wird gefahren?

 

;)

Link zu diesem Kommentar

@zahni:

Danke für die Links. Den letzten Link konnte ich bisher nicht sichten. Die anderen beschriebenen Lösungsansätze habe ich teils schon probiert. Leider ohne Erfolg.

 

Ich rätsel grade ein bisschen über die Fehlermeldung vom BPA-Analyzer.

 

 

...die Zone _msdcs. scheint nicht zu existieren, ist die Domäne gewachsen und war mal 2000 oder 2003?

 

 

Ich vermute grade ganz stark, dass da die Ursache für die Fehlermeldung liegt. Zum Einstieg in den neuen Job / neuen Arbeitsplatz hatte ich vor einem Jahr einen kaputten Windows 2000er DC vorgesetzt bekommen, der aber grade noch irgendwie funktionierte. Nach einer Fehlerbehandlung des AD hatte ich, mangels funktionierendem 2003er Server, direkt zu einem vorhandenen 2008er R2 migriert. Ganz ohne Reibungsverluste ging das scheinbar nicht. Ich stolpere immer mal wieder über kleine Fehler, die wohl bei der Migration entstanden sind. Zuletzt waren es doppelte SPNs.

 

Die Zone _msdcs.domainname existiert. _msdcs existiert als Unterordner in der DNS-Zone der Domäne. Der Ordner scheint soweit auch vollständig zu sein. Allerdings passt daran scheinbar trotzdem etwas nicht ganz. Bei meiner Suche bin ich über dieses Thema bei Technet gestolpert.

 

https://social.technet.microsoft.com/Forums/windowsserver/en-us/3eca6eba-68ad-43e2-9580-16e72cf8e95a/the-active-directory-integrated-dns-zone-msdcsdomainname-was-not-found?forum=winserverMigration

 

Dort ist mein Fall auch inkl. möglicher Lösung beschrieben. Und der Fehler scheint wohl andere Fehler nach sich zu ziehen (in Verbindung mit Exchange oder entfernten AD-Standorten), die bei mir zum Glück noch nicht aufgetreten sind.

 

Bin grade am Überlegen, wie ich das jetzt am dümmsten mache...

 

EDIT: Die Lösung war eine neue primäre DNS-Zone mit dem Namen _msdcs.FQDN als Forward Lookupzone einzurichten. Der Rest ging von alleine.

 

 

Wer hat denn bei IPv6 feste Adressen eingetragen?

Habt ihr einen Plan dafür?

 

...

 

Welche Schema-Version hat das AD, welche wird gefahren?

 

... 

 

Ich bin es nicht gewesen und nein. Das ist ein reines IPv4-Netzwerk bei mir. Ich frage mich auch gerade, wo die IPv6-Adresse her kommt und wo ich den Eintrag suchen muss. Auf dem zweiten DNS wird das nicht angemeckert. Dort "fehlt" aber auch die _msdcs Zone und er will dass ich die automatische Bereinigung aktiviere.

 

Das AD hat das Schema Nr. 47 (für den Server 2008 R2). Hab es gerade mal mit dsquery abgefragt.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Ja, ich weiß, dass die mögliche Lösung quasi schon fast auf dem Präsentierteller dort steht. :)

 

Ist bloß ein bisschen schwierig, weil ich das noch nicht gemacht habe. Nachdem der Leidensdruck deswegen nicht ganz so groß ist, will ich mir das erst mal genauer anschauen, was ich dort machen muss, bzw. was ich dort vielleicht noch alles so machen kann.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Steht doch da. Löschen unterhalb deiner forward loskupple Zone, Neuanlagen als Forestzone und Delegation anlegen. Dann netlogon Service durchstarten.

 

Bist du dir sicher, dass das so in dem von mir verlinkten Thema bei Technet drin steht? Eventuell habe ich dich ja auch falsch verstanden...

 

Btw: Der von mir verlinkte Artikel ist die Lösung gewesen.

 

Jetzt ist nur noch die Aufräumfunktion offen und der auf dem ersten DNS eingetragene Stammhinweisserver, der nicht reagiert. Die Stammhinweise habe ich jetzt auch komplett deaktiviert.

 

EDIT: Das mit den Stammhinweisen auf dem ersten DNS war komisch. Der vom BPA-Analyzer gefundene Server tauchte nirgends in der Stammhinweisliste auf. Das Problem ist nun aber auch gelöst. Zur Auflösung hab ich die fehlerfreie Liste vom zweiten DNS auf den ersten DNS kopiert.

 

Für das Einrichten der Aufräumfunktion werde ich mich danach richten:

 

https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

 

Ich denke, das krieg ich auch gar alleine hin. :)

 

Vielen Dank für eure Hilfe! :)

bearbeitet von willy-goergen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...